疑似冲击波新变种

wcj20236

http://baike.baidu.com/view/744920.htm

wrq

dr.com客服端的一个文件 无毒的 微点遇bug了

saga3721

这个客户端厉害，帮助微点自我完善

File ID 燜ilename Size (Byte) Result
25317939  Dr[1].COM???????3...39.rar 146.6 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID 燜ilename Size (Byte) Result
25317940  _TcpIpDog.dll  288 KB  CLEAN
25317941  Dr.COM###########...39.exe  96 KB  CLEAN
25317942  edata.dat  12 Byte  CLEAN
25317943  login2.dat  100 Byte  CLEAN
25317944  TcpIpDog.dll  42.5 KB  CLEAN

[ 本帖最后由 saga3721 于 2009-4-10 17:43 编辑 ]

kingsheet

卡巴不报

hswj1026

我微点+超级巡警也挂了，恢复系统后应该没问题了吧？

hddu

EQ实机测试，测试前关闭费尔监控，双击测试程序，弹出“驱动程序安装完毕，需要重启本机”点确定后，进入重启，重启后能正常进入系统，操作一切正常，没有出现自动重启等现象。费尔全盘扫描无问题。
2009-04-10 19:27:57    创建注册表值      操作:阻止
进程路径:E:\Dr[1].COM宽带认证客户端3.39\Dr.COM宽带认证客户端3.39.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\DrcomPacketCapture
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*
2009-04-10 19:27:57    创建注册表值      操作:阻止
进程路径:E:\Dr[1].COM宽带认证客户端3.39\Dr.COM宽带认证客户端3.39.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\DrcomPacketCapture
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*
2009-04-10 19:28:00    关闭/重启系统      操作:允许
进程路径:E:\Dr[1].COM宽带认证客户端3.39\Dr.COM宽带认证客户端3.39.exe

luxiao200888

是clean

flame101

貌似是我搞错了....

[ 本帖最后由 flame101 于 2009-4-10 21:33 编辑 ]

yyyy8889

我机器装的kav2009+天网，我是企业内部网通过dr.com上互联网，帮朋友测试这个共享客户端时发现的。
按照压缩包内说明将_tcpipdog.dll复制到systerm32文件夹内后，重启机器。（太傻了，自己种病毒）
卡巴查不到，然后卡巴也被杀掉。重启后，avp.exe进程占用cpu100%，进程停不掉，服务也停不掉。没办法，重启后选择命令提示行项，将kav删除，再安装金山毒霸，还是查不到病毒。
我狂晕，将_tcpipdog.dll重命名，重启后，无症状了，貌似冲击波也消失了，使用360修复lsp，重新安装了tcp\ip协议，然后可以正常上网了。

到最后也没有找到病毒文件，因为是办公用电脑，内有重要文件，只好格式化重做安装系统。

那位大大能反汇编或者什么的，能找出原因，让我们学习下，感激不尽！

[ 本帖最后由 yyyy8889 于 2009-4-10 21:08 编辑 ]

yyyy8889

各位大大，试验时，可执行文件运行后文体不算大。【按照压缩包内说明将_tcpipdog.dll复制到systerm32文件夹内后，重启机器。（太傻了，自己种病毒）】，这样麻烦就大了，弄不好就要重做系统~~
百度了下，原来这个病毒早就有了，貌似到现在也没有个杀毒软件能查杀了。
以下是百度到的资料：
http://zhidao.baidu.com/question/31691991.html

最近一种新病毒在校园内流传开来，许多同学中了，现象有如下

1 DRCOM3.05显示端口被占用，无法使用。用NETSTAT -ANO查看，显示UDP61440端口被占用。

2 IE浏览器无法正常使用，大部分网址网页打不开

3 网卡的网络连接不能收到有效的DHCP信号，需要手动设置。有时候连校园网都登陆不了。

4 感染后的文件如果是NTFS的话，点右键，没有“安全”选项。XP的话请关闭简单文件共享会发现问题。

5 扫描系统会发现很多名为TCPIPDOG.dll或者类似的为TCPIPDOG[1,2,3]的文件，删除的时候会发现拒绝删除。但是没安全选项，有时候重新启动才能删除。似乎TCPIPDOG0。DLL是正常的文件，与DHCP通信有关。

6 该病毒复制速度快，感染能力特别强，危害很大，喜欢自我复制和感染MSI，DLL等文件，特别是DRCOM，QQ系列文件目录。（可以认为是专为校园网打造的病毒。）


我是在同学机器上发现的，本人机器装的是sysmantec10.0搭配天网放火墙（天佑均有下载）都没出现问题，看来还是需要安全设置。卡巴个人版的话可能无法杀死，但能查到。其他软件好象均无法查到。但是其他软件的话就不会提示占用端口等问题，究竟是DRCOM3。05本身设计上的问题还是由于感染了其他病毒无法而知。但这个病毒体是带有严重传染性的，会让系统其他一些文件感染相同特征码的恶意代码。

如果DRCOM和QQ被感染了，最好是卸载软件，然后清空目录，然后再重新装就没问题。推荐安装SYMANTEC10+天网放火墙。如果有更多问题，请到本站论坛安全版提出。我们会进行指导解决。